Una nueva campaña, denominada Zealot, ataca servidores Windows y Linux mediante un surtido de exploits que hacen posible la minería de la criptomoneda Monero.
Diario TI 18/12/17 10:59:01
La campaña sido detectada por F5 Networks, que la ha denominado Zealot, debido a zealot.zip, uno de los archivos malignos unidos a los servidores objeto de los ataques. Según se indica, el ataque ha sido posible mediante el mismo exploit utilizado en el hack de Equifax.
Los investigadores Maxim Zavodchik y Liron Segal, de F5 Networks, los atacantes escanean Internet en busca de servidores vulnerables; es decir, no parcheados, utilizando dos exploits, CVE-2017-5638 y CVE-2017-9822, para Apache Struts y DotNetNuke ASP.NET CMS, respectivamente.
La vulnerabilidad de Apache Struts es la misma que otros atacantes utilizaron en meses pasados para vulnerar los sistemas de gigante financiero estadounidense Equifax. Paralelamente, otro grupo de delincuentes utilizó la misma vulnerabilidad en abril para atacar servidores Struts, donde instalaron ransomware.
Al encontrar un servidor Windows vulnerable, los atacantes instalan EternalBlue y EternalSynergy, dos exploits de la NSA filtrados a Internet por el grupo autodenominado Shadow Brokers. En algunos casos, también utilizaron PowerShell de Windows para descargar e instalar una aplicación de malware utilizada para la minería de Monero.
Los investigadores de F5 recalcan que los atacantes pudieron haber utilizado la última etapa del proceso; es decir, la instalación de malware, para instalar a su antojo virus y troyanos, aparte de ransomware. Cabe señalar que los atacantes sólo descargaron US$8500 en algunos monederos dispersos, lo que lleva a preguntarse si acaso el objetivo era más bien probar un concepto de ataque, en el lugar de procurar un botín económico. Esta perspectiva se ve refrendada por los expertos Zavodchik y Segal, quienes comentaron: “el nivel de sofisticación que hemos visto en la campaña Zealot nos lleva a creer que esta fue desarrollada y ejecutada por actores con conocimientos muy superiores a los de quienes normalmente operan botnets”. Con ellos se referían a la capacidad de instalar y activar una cadena de infección de varios niveles, para luego instalar malware avanzado y especialmente adaptado, y finalmente la capacidad de desplazarse lateralmente entre distintas capas de una red.
https://diarioti.com/nueva-campana-utiliza-exploits-de-la-nsa-para-mineria-de-monero/106256